Silent Circle nói về các giao tiếp truyền thông điện tử an ninh: 'Bạn có thể muốn tránh thư điện tử hoàn toàn'

Silent Circle on secure electronic communications: 'You may wish to avoid email altogether...'

Louis Kowolowski giải thích rằng trong khi có khả năng để mã hóa thân của các thông điệp, thì siêu dữ liệu có thể “đúng là đang gây hại”

Louis Kowolowski explains that while it's possible to encrypt the body of messages, the metadata can be 'just as damaging'

By Stuart Dredge, heguardian.com, Monday 19 August 2013 10.53 BST

Theo: http://www.theguardian.com/technology/2013/aug/19/silent-circle-email-not-secure

Bài được đưa lên Internet ngày: 19/08/2013

Lời người dịch: Nói về thư điện tử được mã hóa, bạn đừng chỉ nghĩ về việc mã hóa thân của thông điệp, mà còn phải nghĩ về việc mã hóa toàn bộ các siêu dữ liệu đi kèm thông điệp đó. Đấy là lời khuyên của giám đốc hãng thư điện tử có an ninh Silent Circle, hãng đã tự tay mình đóng cửa để tránh phải chuyển các dữ liệu của khách hàng cho các nhà chức trách Mỹ trong vụ PRISM. Một chương trình thu thập siêu dữ liệu của NSA gọi là ShellTrumpet sau đó đã được tiết lộ đã “xử lý 1 tỷ bản ghi siêu dữ liệu của nó” vào tháng 12/2012, với phóng viên của tờ Người quan sát (Observer) John Naughton sau này lưu ý rằng “siêu dữ liệu là những gì những người rình mò muốn vì lý do đơn giản là nó đọc được bằng máy và vì thế có khả năng tìm kiếm được. Nó là những gì làm cho sự giám sát phạm vi rộng toàn diện trên Internet có khả năng”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Hãng Silent Circle của Mỹ đã đóng cửa dịch vụ thư điện tử có mã hóa Silent Mail của mình đầu tháng này, nó nói rằng “thư điện tử như chúng ta biết nó hôm nay, về cơ bản, là què quặt từ quan điểm về tính riêng tư”.

Bây giờ hãng đã và đang chi tiết hóa về yêu cầu trả lời cho các câu hỏi về việc vì sao hãng không thể chỉ sử dụng một trình cài cắm mật mã khóa không đối xứng cho các ứng dụng thư điện tử để đảm bảo an ninh cho các giao tiếp truyền thông giữa những người sử dụng của hãng.

Nói ngắn gọn, tất cả là về siêu dữ liệu.

“Nếu mục tiêu đơn giản là mã hóa thân của thông điệp thì có các dịch vụ và sản phẩm mà hoàn tất điều này”, giám đốc các hoạt động kỹ thuật của Silent Circle Louis Kowolowski đã giải thích trong một bài viết trên blog.

“Nếu mục tiêu của bạn là không có sự rò rỉ siêu dữ liệu trong các giao tiếp truyền thông an ninh của bạn, thì bạn có thể muốn tránh các thư điện tử hoàn toàn. Thư điện tử làm rò rỉ thông tin về ai đang giao tiếp, và thường xuyên thế nào. Thông tin này có thể làm hại hệt như nội dung của thư điện tử”.

Như các ví dụ, Kowolowski đã lưu ý rằng các công ty muốn bảo vệ sở hữu trí tuệ của họ hoặc các cá nhân gửi hoàn thuế có thể hạnh phúc để sử dụng công nghệ truyền thống PGP/SMIME để mã hóa thân của các thông điệp, như “một chiến binh vì tự do làm việc ở một quốc gia đối nghịch” có thể chỉ quan tâm tới siêu dữ liệu.

Ông đi sâu vào về cách mà các thư điện tử được mã hóa vẫn có thể có khá nhiều siêu dữ liệu đáng giá cho các bên có quan tâm, cung cấp ngữ cảnh nhiều hơn cho quyết định của Silent Circle để đóng cửa Silent Mail vài ngày sau hãng tương tự, Lavabit, đã đóng cửa.

“Trong quá khứ, việc đảm bảo an ninh cho thân của thông điệp là đủ. Các công cụ và kỹ thuật được sử dụng cho việc rình mò từng chưa đủ rộng về phạm vi để cho phép các siêu dữ liệu sẽ được sử dụng”, Kowolowski viết.

“Với việc nghe trộm của các nhà cung cấp dịch vụ Internet đường trục, các bên có quan tâm có thể thấy tất cả giao thông trên Internet. Những ngày nơi mà nó từng có khả năng đối với 2 người để có được cuộc hội thoại thực sự riêng tư qua thư điện tử, nếu chúng bao giờ đó có tồn tại, thì cũng đã qua từ lâu rồi”.

Các từ của ông có thể phục vụ như một lời cảnh báo cho bất kỳ ai nghĩ về việc chuyển tới các dịch vụ thư điện tử an ninh khác không nằm ở Mỹ như Hushmail, Neomailbox và Countermail, dù như Kowolowski đã làm rõ, thư điện tử có thể vẫn là một dạng giao tiếp phù hợp cho mọi người và các công ty mà quan tâm hơn về việc mã hóa thân của các thông điệp hơn là các siêu dữ liệu xung quanh nó.

Siêu dữ liệu các dạng khác nhau từng nằm trong tâm của những tiết lộ đang diễn ra về sự giám sát của Cơ quan An ninh Quốc gia (NSA) Mỹ mùa hè này, từ câu chuyện đầu tiên hôm 06/06 về việc thu thập “các siêu dữ liệu điện thoại” của NSA từ các cuộc gọi được hàng triệu khách hàng của nhà cung cấp viễn thông Mỹ Verizon thực hiện.

Một chương trình thu thập siêu dữ liệu của NSA gọi là ShellTrumpet sau đó đã được tiết lộ đã “xử lý 1 tỷ bản ghi siêu dữ liệu của nó” vào tháng 12/2012, với phóng viên của tờ Người quan sát (Observer) John Naughton sau này lưu ý rằng “siêu dữ liệu là những gì những người rình mò muốn vì lý do đơn giản là nó đọc được bằng máy và vì thế có khả năng tìm kiếm được. Nó là những gì làm cho sự giám sát phạm vi rộng toàn diện trên Internet có khả năng”.

Về phần mình, Silent Circle đang tập trung vào các dịch vụ Silent Phone, Silent Text và Silent Eyes của mình cho việc gửi nhận thông điệp bằng tiếng nói, video và văn bản/hình ảnh. “Chúng tôi không có các dữ liệu được mã hóa và chúng tôi không thu thập siêu dữ liệu về các cuộc hội thoại của các bạn”, hãng này giải thích trong bài viết trên blog công bố sự đóng cửa của Silent Mail.

When American firm Silent Circle shut down its Silent Mail encrypted-email service earlier this month, it claimed that "e-mail as we know it today is fundamentally broken from a privacy perspective".

Now the company has been elaborating on the claim in response to questions about why it couldn't just use an asymmetric key cryptography plug-in for email applications to secure communications between its users.

In short, it's all about the metadata.

"If the goal is simply to encrypt the body of the message there are services and products that accomplish this," explained Silent Circle's technical operations manager Louis Kowolowski in a blog post.

"If your goal is to not have metadata leakage in your otherwise secure communications, you may wish to avoid email altogether. Email leaks the information about who is communicating, and how often. This information may be just as damaging as the content of the email."

As examples, Kowolowski noted that companies wanting to protect their intellectual property or individuals sending tax returns may be happy to use traditional PGP/SMIME technology to encrypt the body of their messages, but that "a freedom fighter working on an oppressive country" would be just as concerned about the metadata.

He went into more depth about how encrypted emails can still yield plenty of valuable metadata for interested parties, providing more context for Silent Circle's decision to shut down Silent Mail days after one of its peers, Lavabit, also closed.

"In the past, securing the body of the message was sufficient. The tools and techniques used for snooping were not on a large enough scale to allow the metadata to be useful," wrote Kowolowski.

"With the tapping of backbone internet providers, interested parties can now see all traffic on the internet. The days where it was possible for two people to have a truly private conversation over email, if they ever existed, are long over."

His words may serve as a warning for anyone thinking of switching to other non-US-based secure email services like Hushmail, Neomailbox and Countermail, although as Kowolowski made clear, email may remain a suitable form of communication for people and companies who care more about encrypting the body of their messages than the metadata around it.

Metadata of various kinds has been at the heart of the ongoing revelations about surveillance by the US National Security Agency (NSA) this summer, from the first story on 6 June about the NSA collecting "telephony metadata" from calls made by millions of customers of US telecoms provider Verizon.

An NSA metadata-collection program called ShellTrumpet was later revealed to have "processed its One Trillionth metadata record" in December 2012, with Observer writer John Naughton later noting that "the metadata is what the spooks want for the simple reason that it's machine-readable and therefore searchable. It's what makes comprehensive internet-scale surveillance possible."

For its part, Silent Circle is focusing on its Silent Phone, Silent Text and Silent Eyes services for voice, video and text/picture messaging. "We don't have the encrypted data and we don't collect metadata about your conversations," explained the company in its blog post announcing Silent Mail's closure.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com